TB und Viren – Bitdefender zeigt falsch an

Danke!

Das mit dem Logfile probiere ich aus, muss es aber erst finden bei BD. Da bin ich nicht drauf gekommen.

Welche Viren? Ich sehe nachher mir den PC an und melde mich nochmals.

Vorab mal Danke!!

Also ich habe gerade einen PC genommen, auf dem IMAP Mails sind und keine pop3 Mails.

Auch dort das gleiche Problem. Auch hier werden E-Mail-Viren angezeigt, die nicht mehr vorhanden sind. Es war ein Trojaner (Download). Das Mail existiert aber nicht mehr. Weder im Posteingang noch im Mülleimer. Es wurde längst gelöscht, die Ordner Indexe neu erstellt. Bitdefender lief gerade über den User-Ordner drüber und hat diese Virenmails aktuell angezeigt.

Ich verzweifle noch…

Von diesem PC (IMAP-Mail-Viren) habe ich gerade eine Analyse gemacht (Interne Daten (Domain etc. habe ich mit GELÖSCHT versehen; sollte ich \“heisse\“ Angaben übersehen haben zu löschen, bitte kurz mitteilen! – Danke!):

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:03:27, on 06.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
D:\\WINNT\\System32\\smss.exe
D:\\WINNT\\system32\\winlogon.exe
D:\\WINNT\\system32\\services.exe
D:\\WINNT\\system32\\lsass.exe
D:\\WINNT\\system32\\svchost.exe
D:\\WINNT\\system32\\spoolsv.exe
D:\\WINNT\\System32\\svchost.exe
D:\\WINNT\\system32\\hidserv.exe
D:\\WINNT\\system32\\regsvc.exe
D:\\WINNT\\system32\\MSTask.exe
D:\\WINNT\\System32\\WBEM\\WinMgmt.exe
D:\\Programme\\UltraVNC\\WinVNC.exe
D:\\WINNT\\system32\\svchost.exe
D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Communicator\\xcommsvr.exe
D:\\WINNT\\System32\\svchost.exe
D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Update Service\\livesrv.exe
D:\\WINNT\\Explorer.EXE
D:\\WINNT\\system32\\VTTimer.exe
D:\\Programme\\FreePDF_XP\\fpassist.exe
D:\\WINNT\\system32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe
D:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe
D:\\Programme\\Softwin\\BitDefender10\\bdagent.exe
D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
D:\\Programme\\One Guy Coding\\Automachron\\achron.exe
D:\\Programme\\MSOffice\\Office\\WINWORD.EXE
D:\\Programme\\Mozilla Thunderbird\\thunderbird.exe
D:\\PROGRA~1\\MOZILL~1\\FIREFOX.EXE
D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Scan Server\\bdss.exe
D:\\Programme\\Softwin\\BitDefender10\\vsserv.exe
D:\\Programme\\Softwin\\BitDefender10\\bdlite.exe
D:\\Dokumente und Einstellungen\\AA\\Desktop\\HiJackThis_v2.exe

R0 – HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = about:blank
R1 – HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyServer = GELÖSCHT
R1 – HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyOverride = localhost, 127.0.0.1, .GELÖSCHT, GELÖSCHT;
O2 – BHO: Adobe PDF Reader – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – D:\\Programme\\Gemeinsame Dateien\\Adobe\\Acrobat\\ActiveX\\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962-6F74-2D53-2644-206D7942484F} – D:\\PROGRA~1\\SPYBOT~1\\SDHelper.dll
O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
O3 – Toolbar: @msdxmLC.dll,-1@1031,&Radio – {8E718888-423F-11D2-876E-00A0C9082467} – D:\\WINNT\\System32\\msdxm.ocx
O4 – HKLM\\..\\Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 – HKLM\\..\\Run: [nwiz] nwiz.exe /install
O4 – HKLM\\..\\Run: [VTTimer] VTTimer.exe
O4 – HKLM\\..\\Run: [FreePDF Assistant] D:\\Programme\\FreePDF_XP\\fpassist.exe
O4 – HKLM\\..\\Run: [FinePrint Dispatcher v5] \“D:\\WINNT\\system32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe\“ /source=HKLM
O4 – HKLM\\..\\Run: [Adobe Reader Speed Launcher] \“D:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\“
O4 – HKLM\\..\\Run: [BDMCon] D:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe
O4 – HKLM\\..\\Run: [BDAgent] \“D:\\Programme\\Softwin\\BitDefender10\\bdagent.exe\“
O4 – HKLM\\..\\Run: [NeroFilterCheck] D:\\WINNT\\system32\\NeroCheck.exe
O4 – HKLM\\..\\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 – HKLM\\..\\Run: [WinVNC] \“D:\\Programme\\UltraVNC\\WinVNC.exe\“ -servicehelper
O4 – HKCU\\..\\Run: [updateMgr] \“D:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\“ AcRdB7_0_8 -reboot 1
O4 – HKCU\\..\\Run: [ccleaner] \“D:\\Programme\\CCleaner\\ccleaner.exe\“ /AUTO
O4 – HKCU\\..\\Run: [LDM] D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
O4 – HKUS\\.DEFAULT\\..\\Run: [internat.exe] internat.exe (User \’Default user\‘)
O4 – HKUS\\.DEFAULT\\..\\Run: [Symantec NetDriver Warning] D:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe (User \’Default user\‘)
O4 – HKUS\\.DEFAULT\\..\\RunOnce: [^SetupICWDesktop] D:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop (User \’Default user\‘)
O4 – Startup: Automachron.lnk = D:\\Programme\\One Guy Coding\\Automachron\\achron.exe
O4 – Startup: Microsoft Word.lnk = D:\\Programme\\MSOffice\\Office\\WINWORD.EXE
O4 – Startup: Mozilla Thunderbird.lnk = D:\\Programme\\Mozilla Thunderbird\\thunderbird.exe
O4 – Global Startup: Logitech Desktop Messenger.lnk = D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
O9 – Extra \’Tools\‘ menuitem: Sun Java Konsole – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
O9 – Extra button: Related – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – D:\\WINNT\\web\\related.htm
O9 – Extra \’Tools\‘ menuitem: Show &Related Links – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – D:\\WINNT\\web\\related.htm
O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185402215847
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = 192.168.2.10,192.168.20.5
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{30FEC34D-DD50-4E36-BB54-39A3AFC9179E}: Domain = GELÖSCHT
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{30FEC34D-DD50-4E36-BB54-39A3AFC9179E}: NameServer = 192.168.2.10,192.168.2.5
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{DE5DC188-9A40-4DEA-B13B-3B56C3147F08}: NameServer = 192.168.2.5,192.168.2.10
O17 – HKLM\\System\\CS1\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CS1\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CS1\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = 192.168.2.10,192.168.20.5
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = GELÖSCHT
O18 – Protocol: bwfile-8876480 – {9462A756-7B47-47BC-8C80-C34B9B80B32B} – D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\GAPlugProtocol-8876480.dll
O22 – SharedTaskScheduler: Browseui preloader – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – D:\\WINNT\\System32\\browseui.dll
O22 – SharedTaskScheduler: Component Categories cache daemon – {8C7461EF-2B13-11d2-BE35-3078302C2030} – D:\\WINNT\\System32\\browseui.dll
O23 – Service: BitDefender Local Manager (BDLM) – Unknown owner – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Local Manager\\bdlm.exe (file missing)
O23 – Service: BitDefender Scan Server (bdss) – Unknown owner – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Scan Server\\bdss.exe
O23 – Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) – VERITAS Software Corp. – D:\\WINNT\\System32\\dmadmin.exe
O23 – Service: BitDefender Desktop Update Service (LIVESRV) – SOFTWIN S.R.L. – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Update Service\\livesrv.exe
O23 – Service: AOpen NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – D:\\WINNT\\System32\\nvsvc32.exe
O23 – Service: BitDefender Virus Shield (VSSERV) – SOFTWIN S.R.L. – D:\\Programme\\Softwin\\BitDefender10\\vsserv.exe
O23 – Service: VNC Server (winvnc) – UltraVNC – D:\\Programme\\UltraVNC\\WinVNC.exe
O23 – Service: BitDefender Communicator (XCOMM) – SOFTWIN S.R.L – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Communicator\\xcommsvr.exe

—
End of file – 7682 bytes

Was ist mit C Einträgen bitte gemeint? Was müßte ich bitte fixen? Sorry, ich steh grad auf der Leitung.

Der PC wird voraussichtlich in den nächsten Wochen zufälligerweise eh neu aufgesetzt.

Sind aber mehrere PCs von diesem seltsamen Verhalten vorhanden. Einer mit pop3, wurde von mir kürzlich neu installiert mit BD 10 Antivirus, und mehrere mit IMAP und BD10IS.

Das GELÖSCHT habe ich geschrieben: Interne Daten damit überschrieben 😉

Lt. Hijackthis war nichts ungewöhnliches dabei. Aber sicher bin ich mir auch nicht.

Aber eigentlich auch nicht möglich, weil TB ja diese Dateien sofort sperrt. Auch wurden diese Mails nie geöffnet bzw. die Anhänge gestartet. Leider hat die Hardwarefirewall die Virenmails nicht gleich geblockt – weil IMAP.

Wg. Norton: ich denke nicht, habe aber die PCs erst vor ca. einem Jahr \“übernommen\“; könnte also sein, dass das mal drauf war.

[Editiert am 6/9/2007 von Lauxi]

Null Problemo 😀

Sind ja auch viele Daten 🙂

Ja, bei allen Clients ist BD10 IS naglneu drauf, vorher BD8 Pro.

Hardwarefirewall ist mit Antivirenschutz, E-Mailschutz etc. vollständig ausgestattet, aber nützt bei IMAP nix. Wird sich aber mit einer Neueinrichtung eines Mailservers auch mal noch ändern… Dauert noch etwas.

Online-Scan: wo? Bei Bitdefender selber? Kaspersky?

Mich ärgert maßlos, dass sich BD nicht mehr meldet. Habe schon 3 mal reklamiert wegen Antwort.

Ist das ein BD oder ein TB-Problem? Bin mir da nicht so sicher.

Außerdem soll man ja den Profilordner eigentlich bei IMAP-Mails bei TB nicht scannen. Das ganze fiel nur auf, weil versehentlich ein Scan durchlief, OBWOHL IN DEN EINSTELLUNGEN DER PFAD PROFILE AUSGENOMMEN WAR!

Auch darüber ärgere ich mich sehr bei Bitdefender! Aber OK, so fiel es wenigstens mal auf, aber ich schaffe es nicht das Problem zu lösen ;(